基于口令认证的群组密钥协商协议(Password-Authenticated Group Key Exchange Protocol, PAGKE协议)允许群组用户在一个公共网络上使用低熵的容易记忆的口令协商出一个高熵的会话密钥。该会话密钥由每个群组用户秘密保存,用于保证数据在不安全通道上的安全传输。传统的群组密钥协商协议大多是使用用户的私钥信息,通过对用户间交互的信息流进行签名来实现对用户身份的认证。但是这种方法存在一个弊端,那就是严重依赖于公钥基础设施(PKI),需要PKI为其提供公钥信息和证书。无法适用于一些缺乏公钥基础设施的环境。而基于口令认证的群组密钥协商协议不需要公钥基础设施的支持,很好的解决了这一问题。同时因为口令容易记忆,不需要智能卡或者令牌环之类的附加设施储存,因此该类协议能够更好的适用于一些无法部署公钥基础设施的移动性较高的环境中,例如紧急救援,军事,私有网络等,有着非常重要的研究价值和意义。本文在Burmester和Desmedt协议的基础上,提出一个新的可证安全的基于口令的群组密钥交换协议,并在标准模式下对该协议进行安全性证明。与现有的基于口令的群组密钥协商协议相比,具有以下特点：(1)使用多口令认证的方式。目前大多数基于口令认证的群组密钥协商协议中,所有用户共享一个相同的口令,显然,该方式并不是很实用,每一次群组成员的动态变化都要求全部成员同时更新共享密钥,增加代价；同时在协议执行的过程中,某个成员密钥的泄露会导致全部密钥信息的泄露,降低协议的安全性。而本方案使用多口令认证的方式,不同的群组成员使用不同的口令,当有群成员加入或者离开时,其他成员也不需要再次更新密钥。(2)能够满足针对服务器的密钥保密性。Byun和Lee曾经提出基于不同口令认证的群组密钥协商协议,但是没有考虑针对服务器的密钥保密性,这就意味着服务器可以计算出最终的会话密钥。本协议则解决了上述问题。(3)协议在标准模型下是可证安全的。协议在判定Diffie-Hellman假设下,使用Bellare, Pointcheval和Itogaway’s模型证明其安全性,与在随机模型下可证安全的协议相比,增强了协议的安全性,避免了协议的具体实现所带来的潜在的不安全因素。最后,因为存在网络失败,成员申请或者其他原因,群组成员可能在任何时候加入或者离开当前群组。一个完整的群组密钥协商协议必须具备能够处理动态情形的能力,因此在最后一章我们还详细介绍了能够处理以上情形的两个算法：成员添加和撤销算法。